Ob Kunden- und Beschäftigtendaten, Drittanbieterdienste auf Webseiten oder Microsoft 365 – die Übermittlung von personenbezogenen Daten in Drittländer ist Standard in vielen Unternehmen. Auch vor dem Hintergrund der “Schrems II”-Entscheidung des Europäischen Gerichtshofs (EuGH) kann dabei jedoch nicht nur Ungemach von Behörden, sondern in Form immaterieller Schadensersatzansprüche auch von Betroffenen drohen. Wir geben einen Überblick über die rechtlichen Hürden und Handlungsmöglichkeiten.
Was ist eine Drittlandübermittlung?
Drittländer sind alle Staaten, die nicht dem Europäischen Wirtschaftsraum (EWR) angehören. Der EWR umfasst alle EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein. Wann jedoch eine Übermittlung in ein Drittland vorliegt, ist – insbesondere für den Fall, dass die Daten nicht direkt übermittelt, sondern nur offengelegt werden – stark umstritten und nicht abschließend geklärt.
Wann ist eine Drittlandsübermittlung zulässig?
Bei jeder Übermittlung personenbezogener Daten in Drittstaaten muss dafür Sorge getragen werden, dass das Datenschutzniveau der DSGVO nicht untergraben wird. Die DSGVO sieht hierfür insbesondere folgende Möglichkeiten vor:
1. Angemessenheitsbeschlüsse
Mit einem Angemessenheitsbeschluss stellt die Europäische Kommission fest, dass in einem bestimmen Drittland ein angemessenes Schutzniveau für personenbezogene Daten besteht. Aktuell bestehen solche Beschlüsse beispielsweise für das Vereinigte Königreich, Kanada, die Schweiz, Japan, Israel und Südkorea. Eine vollständige Liste finden Sie auf der Internetseite der EU-Kommission. Zurzeit befindet sich zudem mit dem Trans-Atlantic Data Privacy Framework ein Abkommen zwischen den USA und der EU in Vorbereitung, das als Grundlage für einen Angemessenheitsbeschluss dienen soll.
2. Standardvertragsklauseln
Existiert kein Angemessenheitsbeschluss, muss der Verantwortliche oder Auftragsverarbeiter geeignete Garantien vorsehen, um dafür Sorge zu tragen, dass das Schutzniveau gewahrt bleibt. Praktisch bedeutsam sind insbesondere die sogenannten Standardvertragsklauseln der EU-Kommission, die von Datenimporteur und ‑exporteur abgeschlossen werden. Allerdings müssen Unternehmen beachten, dass die Verwendung der Klauseln allein nicht immer ausreichend ist. Der Datenexporteur muss im Einzelfall prüfen, ob die Rechtslage und Praxis im Drittland ein angemessenes Datenschutzniveau gewährleisten oder zusätzliche Maßnahmen, wie z.B. Verschlüsselung oder Pseudonymisierung, erforderlich sind.
3. Weitere Möglichkeiten
Speziell für Unternehmensgruppen existiert die Möglichkeit, interne Datenschutzvorschriften (sog. Binding Corporate Rules) zu erlassen. Mit dieser Möglichkeit wird dem Bedürfnis grenzüberschreitender Unternehmensgruppen Rechnung getragen, ein einheitliches datenschutzrechtliches Regelwerk etwa für die Übermittlung von Mitarbeiter- oder Beschäftigtendaten vorzusehen. Daneben existieren Ausnahmen. Besonders hervorzuheben ist die Möglichkeit, eine Übermittlung auf eine ausdrückliche Einwilligung des Betroffenen zu stützen. Allerdings kommt dies nach Ansicht der Aufsichtsbehörden nur in Ausnahmefällen in Betracht.
Fazit
Lediglich dort, wo eine Datenübermittlung in Drittländer wirksam ausgeschlossen ist oder ein Angemessenheitsbeschluss besteht, genießen Unternehmen Rechtssicherheit. Werden personenbezogene Daten in Drittländer ohne Angemessenheitsbeschluss übermittelt, sollten Unternehmen im eigenen Interesse prüfen, ob geeignete Garantien für ein angemessenes Datenschutzniveau bestehen. Dabei kann auch eine genaue Prüfung der Rechtslage und Praxis im Empfängerland erforderlich sein.